Doch selbst wenn der neueste Sicherheitspatch eintrifft, können sich Nutzer offenbar nicht sicher sein, dass auch alle bekannten Sicherheitslücken gestopft wurden. Das zeigt eine Untersuchung des deutschen IT-Sicherheitsunternehmens Security Research Labs. Der zufolge überspringen einige Hersteller ältere Sicherheits-Updates oder verteilen gar einen funktionslosen Patch mit neuem Datum, ohne die Schwachstelle im System des Smartphones zu beseitigen.
Für ihre Untersuchung habe das Unternehmen die Firmware von rund 1.200 Android-Smartphones von mehr als einem Dutzend Herstellern überprüft. Dabei zeigte sich, dass nicht alle Sicherheitslücken geschlossen waren, die eigentlich zum jeweiligen Patch-Datum beseitigt sein sollten. In einigen Fällen überspringen die Hersteller Sicherheits-Patches und belassen damit die eigentlich zu beseitigenden Fehler im System. In anderen gehen sie noch dreister vor, wie Karsten Nohl von Security Research Labs erklärt:
"Manchmal ändern die Hersteller einfach das Datum, ohne irgendwelche Patches zu installieren. Vermutlich haben sie aus Marketinggründen den Patch-Level auf ein bestimmtes Datum gesetzt, das am besten aussieht."
Zeitgleich betont der Experte jedoch, dass das Smartphone wegen des Überspringens eines oder mehrere Patches nicht gleich besonders anfällig für Angriffe ist. Allerdings verringert sich das Sicherheitsniveau entsprechend, wenn Sicherheitslücken nicht geschlossen wurden. Zudem gibt es einige Hürden im Android-Betriebssystem, die Angreifer zunächst überwinden müssten.
Selbst lässt sich nur schwer prüfen, ob auf dem eigenen Smartphone alle Sicherheits-Patches installiert wurden. Zwar bietet die App Snoop Snitch die entsprechende Möglichkeit, diese funktioniert allerdings nur mit Root-Rechten. Damit dürften viele Nutzer weiter im Unwissenden bleiben.
Google selbst hat ebenfalls bereits auf die Ergebnisse der Untersuchung reagiert und weist darauf hin, dass einige der getesteten Geräte nicht von Google zertifiziert seien. Zudem fehlen mache Sicherheits-Patches, weil der Smartphone-Hersteller - statt eine Sicherheitslücke zu beseitigen - die lückenhafte Funktion einfach nicht mehr unterstütze oder ganz abschalte. Allerdings gilt das Karsten Nohl zufolge nur für wenige der untersuchten Modelle.
Kommentare